sábado, 4 de enero de 2020

Trabajo en Ciberseguridad: Soy rico !!! pero mírate al ombligo...

Estimados amigos de Inseguros!!!

En el artículillo de hoy voy a opinar un poco de este tema, el de lo salarios y en concreto en el mundo de la ciberseguridad.

Para ponernos en el contexto, me refiero a los notícias absurdas de que faltan miles de profesionales en ciberseguridad, de que son las profesiones del futuro, y sobre todo sobre el boom de los salarios.

En primer lugar, decir que soy un defensor de que los sueldos de la informática son bajos, por lo general, incluidos los de la ciber, por mucho que se lea.


Pero ahora quiero ser un poco más crítico con nosotros mismos. Con los profesionales de la ciberseguridad, porque hay veces en las que soy "empleado" y otras veces con "el que contrata". Unas veces pido y otras doy, y es bueno poner todos los elementos sobre la mesa para poder juzgar la situación económica de los sueldos, no solo desde el punto de vista del que nos interesa a cada uno. Creo que esto es fundamental, el poder ver el problema desde varios prismas, y no desde el que me interesa a mí como individuo.

Voy a empezar por la ubicación. La ciudad donde vivas. Cada país, cada ciudad, tiene unos costes de vida distintos. No es lo mismo vivir en Madrid que en Murcia. Esto es una realidad, y las empresas lo usan. Pongo un ejemplo, mejor dos, de ciudades y empresas que lo aprovechan. Málaga y Alicante,  están apostando mucho por el desarrollo de parques empresariales y colectivos para atraer talento. Como va esto? La globalización, para lo bueno y lo malo, tiene muchas cosas. No solo es bueno para comprar en Aliexpress o amazon cosas quitándonos al proveedor local, sino que ahora el concepto de proveedor local apenas tiene sentido.

Empresas de Noruega, Finlandia, países que por lo general no tienen buen clima... buena gastronomía... les salen MUCHO más rentable atraer talento con oficinas en la soleada Málaga que en Trondheim. Incluso con un 20% menos de sueldo, van a tener más poder adquisitivo, mejor calidad de vida. Esto es algo que está ocurriendo, la calidad de vida del sur de España se está poniendo en valor para muchas empresas, y se está aprovechando.

Si es moral o no, si habría que favorecer el desarrollo local, todo eso está muy bien, pero entonces no compres en aliexpress ni en pc componentes... ni exportes a otros países... y ya de paso mira esta postura con Trump cómo nos afecta.

Respecto a la formación. Es VITAL estar formado. Pero no como tu te quieres formar, sino como lo pide la industria. Si para ser funcionario o para trabajar en X puestos hay que tener una carrera, en el mundo TIC las certificaciones son muy necesarias. Soy un claro defensor de estas, y si bien los masters están muy bien y de moda, conozco MUY pocos que realmente preparen bien a los profesionales, sin embargo, si eliges medio bien, con el precio/tiempo de realizar un master, puedes tener certificaciones de la industria que te aporten mucho más.

No que te aporten como persona... como ser del espacio... NO, que te aporten para encontrar un buen trabajo y salario.

Por otro lado, la curva de la formación, para mi, tambien es muy importante. ¿Qué es esto? Con 22 años y una pasión creciente por la infosec. seguro que haces muchas acciones formativas, pero qué pasa cuando tengas 30? La vida no es siempre fines de semana de largas noches hackeando máquinas, pasando CTF´. La vida con 30 años ( por poner una cifra) es de largas noches sin dormir con el niño malo, con obligaciones familiares, con cargas horarias de trabajo importantes, y al final, no es tán fácil mantener esa curva de formación, de actualización.

Lo he visto MIL veces, gente que llega, se come el mundo, encuentra trabajo y a los dos años ya no es que no destaquen, es que ODIAN su trabajo, porque se ha convertido en trabajo.

Mantener un programa activo de formación y renovación es FUNDAMENTAL para ser un buen profesional en la informática y en la ciber, por eso creo que esto debe reflejarse en el CV. Está claro que no va a ser lo mismo con 20 que con 40, pero asistir a eventos, algún curso de vez en cuando... es más que necesario. Carrera+master+CCNA ( por decir algo) con 23 años es lo normal !!!!no es algo TOP.

Entonces, en tu empresa, te pagan formación? porque el salario económico es algo importante, pero tu tiempo para evolucionar, crecer, investigar, formarte, es algo VITAL, porque lo que puede ser bueno para hoy, puede ser malo para mañana: estancarte y aburrirte de por vida.

Experiencia, que decir de la experiencia !!! si no la tienes no la ganas, si no la ganas no la tienes...
La vida por suerte suele ser muy larga, y la laboral más. Un año, dos años, tres...cinco, diez !!! el tiempo pasa. La experiencia es un grado se dice, y los que no la tienen la cuestionan, y los que la tenemos la ponemos en alza. Vamos a darle una importancia media, para ser justos, pero la tiene.

Contando con que una curva buena de desarrollo profesional e intelectual puede llegar a los 40/50 como cotas más altas, tener 3 años de experiencia en una herramienta es importante, pero no lo es todo.

Tipo de empresa, FUNDAMENTAL, me parece lo más importante. No es lo mismo estar en un consultora por proyectos que en un cliente final. NO HAY COLOR. Empresas que te usan dos años en un proyecto, si se renuevan sigues, y sino, te vas a otro... esas empresas cuando te forman? al final si criticas el modelo de que la localización es una excusa para pagar menos, tambien pensaras que el modelo contrata es un modelo en el que se aprovechan de ti, para ganar dinero directamente de tu trabajo?.

Otro de los factores que me comenta la gente que les parece fundamental es la proyección. Es decir, no me importa tanto cuánto me vas a pagar ahora, pero quiero saber cuanto me vas a pagar, si todo va bien, dentro de 3 años, y dentro de 5... Esto en empresas de proyecto es prácticamente IMPOSIBLE saber. En un cliente final, si puedes saber cuales son los techos de ascensos funcionales y económicos. Conocer que dentro de 3 años puedes estar muy bien, a riesgo de estar 2 años no tan bien, económicamente, pero con otras ganancias, puede estar muy bien. Es más, los jóvenes lo demandan.

Por último, dentro de estas reflexiones más o menos acertadas, y quizás personales, está el mega-ego de la ciberseguridad. Cualquier cosa que se venda como ciberseguridad está de moda, y la gente se aprovecha de ello.

Desde cuanto una persona con 3 años de experiencia es senior? yo creo que una persona es senior cuando lleva 10 años, 15, 20, pero 3?

Usar una herramienta de ciberseguridad, como un SIEM o un antivirus no te hace experto en ciberseguridad. Ni tan siquiera haciendo auditorías todos los días te haces experto en ciberseguridad. La ciberseguridad, como la informática, es muy amplia, y requiere de muchos años y estudio para intentar comprender al máximo la realidad y aportar valor.

Y qué decir de otras capacidades?¿ Hay empresas en las que puede que trabajes como técnico, pero que en ciertas ocasiones tengas que hacer de gestor de equipo, de comercial ante un cliente, de pre-venta con un comercial... relaciones públicas.. hay gente que no tiene ninguna cualidad más allá de la técnica, que son máquinas en lo suyo, pero no les pidas más.

Entonces, dicho esto, vamos con lo sueldos, con los números.

Pero no vamos a mirarnos al ombligo, a nosotros mismos, vamos a mirar el mundo.

Cuanto gana un ingeniero agrícola con 4 años de experiencia? y un licenciado en ADE? un enfermero? un químico? etc

El problema de la falta de sueldo es general en España, y el sector ciberseguridad está bien pagado en consideración con otros sectores.

Un junior con menos de 3 años de experiencia puede estar cobrando 22.000/27.000 euros. Esto es un PEDAZO de sueldo en cualquier ciudad normal para una persona que acaba su ciclo/carrera y hace sus primeros pasos en el mundo laboral.

Pasar de los 27k hasta los 35k puede ser labor de ya unos 5 años de experiencia.

Con una carrera más o menos lanzada, de 10 años, cobrar alrededor de los 45.000 euros creo que es habitual, pero ya en las provincias no. En la inmensa mayoría de España no. Por el coste de vida, y por el tipo de empresa. Os voy a poner un ejemplo, en Murcia, no hay empresa que tenga un CISO. NINGUNA. Hay CIO`s, pero CISO´s como tal exclusivo NO, porque hay unas 10/20 empresas que quizás lo necesiten, pero aún no hay madurez. En Alicante igual, en Albacete igual... Málaga... Córdoba... Gijón... A Coruña... Quitando ibex 35 y grandes grandes grandes empresas, no hay puestos de CISO, ni mucho menos de técnicos que cobren más de 45k.

Hablo de la norma, de lo extendido. Hay chavales que con 2 años de experiencia cobran 120k desde casa... pero no todos somos así, no todos somos genios, esto hay que mirarlo.

Vamos a ver los Pure Players de la ciber. Cuánto facturan? porque oyes nombres de empresas muy grandes en ciberseguridad, pero ves su facturación, y es de empresa de informática de "toda la vida" o casi... y esto al final repercute en los sueldos.

Yo creo que hay MUY poca gente que gana más de 50.000e en una empresa española no Ibex o multinacional como experto en ciberseguridad.




En este punto voy a meter una imágen de una pequeña encuesta en la red en la que efectivamente, se demuestran más o menos mis sospechas: la gente fuera de Madrid no gana mucha pasta...

Vete a Barcelona, segunda ciudad económicamente, Bilbao, Sevilla, A Coruña, Málaga, Murcia... Mira a ver cuanto se cobra. y esto es ASÍ. Lo era hace 20 años y lo sigue siendo.

No quiero decir que defienda que se pague menos en unos sitios que en otros, todos los que me conoceis sabeis mi enfoque en cuanto al centralismo y a la calidad de vida de vivir en Murcia, sino que es algo que se hace, y que tiene un % de justificación. Un pequeño porcentaje, pero al final vivir en la contaminada y saturada Madriz, con 90 minutos de media diaria de desplazamientos para ir a trabajar, con el precio de la vivienda, es normal que se pague algo más.

Al final de todo esto, me gustaría que te quedases con varios conceptos, principalmente que un salario es una mezcla de varias cosas y que no porque seas "ciber"algo eres un crack. un máquina.

Por último, relativizar los precios de los servicios de ciberseguridad, que si bien son caros, depende mucho de quien los haga... al final... como cualquier otro sector.

Gracias por leerme.